Mac用户注意!恶意程式伪装股票交易软体窃取个资
▲资安厂商提醒,近期发现有两只伪装成Mac合法交易软体Stockfolio的木马病毒,将可能入侵Mac电脑中窃取个资。(图/美联社)
资安厂商趋势科技近期发现,有发现两只伪装成Mac合法交易软体Stockfolio的木马病毒,在荧幕上出现真实的股票交易介面,但却在背景执行恶意行为,窃取使用者个资。
趋势科技指出,随着数位应用盛行,股票交易软体可让消费者在股票或期货市场自行进行交易,不须打电话给券商,可节省额外费用。同时也引来网路犯罪者的注意,透过制作假交易软体,窃取使用者名称、IP地址、荧幕截图等个资。
这两只伪装成Mac上合法交易软体Stockfolio的恶意病毒,其中一个变种伪装成正常软体的假应用程式,包含多个恶意组件,其软体套件名为「Stockfoli.app」,与正牌的应用程式「Stockfolio」 比较,名称结尾少了 「o」 字母。
根据趋势科技分析,第一个恶意变种样本包含两个脚本程式(侦测为Trojan.MacOS.GMERA.A),它会连结到远端网站来解密其加密的程式码。一旦Mac用户下载并执行了Stockfoli.app,荧幕上会出现真实的股票交易介面,却在背景执行恶意行为,收集使用者个资,并将所收集的资讯储存到一个隐藏档案:/tmp/.info,进一步将档案传送至远端网址。当网址发出成功回应后,它会再将回应写入另一个隐藏档案中。
而第二个恶意变种样本(侦测为Trojan.MacOS.GMERA.B),虽然只使用一个脚本程式以及更简化的行为,但实际上还加入了持续性机制。该变种样本在2019年6月已上传至VirusTotal,其包含了带有恶意软体作者数位凭证的Stockfolio 1.4.13版本软体,当软体执行时也会用类似的作法掩饰恶意行为。
趋势科技在分析恶意软体过程中,发现恶意软体攻击者会简化行为并加入更多功能,推测攻击者可能在寻找提高效率的方法,甚至会在将来增加躲避侦测机制。该公司建议,消费者若只从官方来源下载应用程式,就可以减少下载到恶意应用程式的机会。